設定對應並指派視覺化分組
支援的國家/地區:
Google SecOps
SOAR
事件設定功能可讓您將視覺化系列指派給事件,以圖形呈現事件與其他動作的關係。這個程序可確保事件正確分類,並包含準確完整的資訊。
事件設定包含下列功能:
- 視覺化:將系列指派給活動。這個系列會以視覺化地圖的形式呈現關係和實體,以圖形方式清楚說明事件經過。指派的家庭會顯示在「Explore Cases」畫面上。
- 對應:編輯或新增特定欄位資訊,修正錯誤或填寫遺漏的資料。
前往「事件設定」頁面
如要前往「Event Configuration」(活動設定) 頁面,請執行下列其中一項操作:
- 從案件佇列選取案件,前往警報的「事件」分頁,然後依序點選「設定」和「設定」。
- 依序點選「設定」>「本體」>「本體狀態」,然後按一下「設定」 「設定」。
指派模型系列
這個模型系列會以圖形呈現所有事件和動作之間的關係。
在「視覺化」頁面中,您可以將事件、產品或來源指派給特定家庭。這個視覺化系列會在「探索」頁面中顯示。
您可以在三個層級指派模型系列:
- 來源層級:頂層。指派給來源的系列會由該來源中的所有產品和事件繼承。
- 產品層級:第二層。指派給產品的家庭會由該產品中的所有活動繼承。
- 活動層級:最底層。
模型系列會繼承父項的設定。如果在來源層級指派系列,產品和活動會從來源層級沿用模式系列。您可以在各層級編輯對應欄位,覆寫上層設定。
Google Security Operations 提供 24 個標準模型系列,您也可以視需要建立更多模型。詳情請參閱「使用視覺化系列對應安全事件關係」。
如要指派模型系列,請按照下列步驟操作:
- 在「Events Configuration」(事件設定) 頁面中,按一下「Visualization」(視覺化)。
- 選取最符合此情境中事件和動作關係的模型系列。
- 在「Confirmation」對話方塊中,按一下「Yes」確認指派。
管理活動的特定欄位
您可以在「對應」頁面管理活動的特定欄位資訊。 顯示指派模型系列所屬的欄位。
舉例來說,如果活動已擷取,但您發現資訊有誤或缺漏,請按照下列步驟操作:
- 在「快訊事件」分頁中,按一下「設定」「設定」,確認已指派給正確的視覺化分組。
- 前往「對應」頁面編輯或新增特定欄位資訊。
您可以對這些欄位執行各種動作:
- 按一下每列結尾的「更多」圖示 more_vert 「更多」。
- 按一下「編輯」 「編輯欄位」。
- 在「對應目標欄位」對話方塊中,輸入要擷取的事件欄位名稱,然後按一下「儲存」。
可編輯的欄位
在實體上按兩下,即可編輯下列欄位:
| 欄位 | 說明 |
|---|---|
| 擷取的欄位 |
要從原始事件欄位擷取資訊的主要欄位名稱。
專業提示:使用 Contains 或 Starts with 將資料劃分為個別實體。這對 url_1 和 url_2 等多個欄位來說相當實用,可建立多個實體。 |
| 替代欄位 1 | 如果找不到主要欄位,則從原始事件欄位擷取資訊的備援欄位。 |
| 替代欄位 2 | 如果找不到主要和次要欄位,則從原始事件欄位擷取資訊的備用欄位。 |
| 擷取函式 |
從原始事件欄位擷取或操控資料,包括下列三個選項:
|
| 轉換函式 |
將資料來源中的資訊轉換為與資料庫相容的格式。可用的函式:
選擇函式後,請新增適當的參數。 舉例來說,選取 FROM_CUSTOM_DATETIME,然後將日期和時間重新格式化為 %Y-%m-%DT%H:%M:%S。 |
您可以從一個來源欄位擷取資料,並對應至不同的目標欄位。舉例來說,如果來源欄位同時包含主機名稱和 IP 位址,您可以使用規則運算式將兩者分開。
顯示對應後的結果
如要查看對應程序完成後的值,請依序點選 more_vert 「更多」>「顯示結果」。
新增擴充資料
各種 SIEM 會在初始擷取程序中納入擴充資料。如要新增擴充資料,請按照下列步驟操作:
- 依序選取「更多」圖示 more_vert>「更多」>「新增擴充功能」圖示 database_upload。
- 選擇要新增至實體的擴充值。
- 按一下 [儲存]。下次將這個實體做為快訊的一部分擷取至平台時,請按一下「查看詳細資料」,這個擴充欄位就會顯示在側邊抽屜的「原始擴充」標題下方。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。